피드로 돌아가기
Getting started with OAuth in your Web Apps
Dev.toDev.to
Security

IRIS 2025.2 네이티브 OAuth2 도입을 통한 인증 아키텍처 단순화

Getting started with OAuth in your Web Apps

InterSystems Developer2026년 6월 30일7beginner

Context

기존 Web Application의 외부 API 연동 시 사용자 자격 증명을 직접 공유해야 하는 보안 취약점 존재. 수동 구현 방식의 OAuth2 적용으로 인한 높은 개발 공수와 설정 복잡도가 병목 지점으로 작용.

Technical Solution

  • IRIS 2025.2의 네이티브 Authentication Method 채택을 통한 DIY 구현 방식 제거
  • Authorization Server(Keycloak)와 Resource Server(IRIS) 간의 분리 구조를 통한 책임 분리
  • Issuer URL 기반의 Discovery 프로세스로 인증 서버 메타데이터 및 JWKS URI 자동 동기화
  • Token의 Audience(aud) 필드 검증을 통한 의도된 수신처 확인 및 비정상 토큰 차단
  • Scope 기반의 권한 제어 설계를 통한 API 기능별(예: Read-only vs Full Access) 세밀한 접근 제어
  • Token 기반의 User Context 생성 로직을 통한 기존 사용자 및 역할(Role) 매핑 체계 유지

1. 컨테이너 환경 배포 시 Hostname 불일치로 인한 Issuer 검증 실패 여부 확인

2. API 성격에 따른 Scope 정의 및 Resource Server 수준의 Audience 검증 설정 적용

3. Production 환경 적용 전 HTTPS 강제 설정을 통한 Token 탈취 가능성 제거

4. 단순 ID 확인을 넘어선 Identity Claim이 필요한 경우 OpenID Connect(OIDC) 병행 검토

원문 읽기